标准应用层协议 攻击者可以使用通用的标准化应用层协议（如 HTTP，HTTPS，SMTP 或 DNS）进行通信，以通过与现有通信流混合来避免检测。远程系统的命令，一般还有命令的执行结果，将嵌入到客户端...

系统网络配置披露 攻击者可能会查找有关其访问的系统的网络配置和设置的详细信息，或远程系统的完整信息披露。多个操作系统管理工具可以用来收集此类信息。包括 Arp，ipconfig / ifconfig，...

安全软件披露 攻击者可能试图获取系统安装的安全软件、配置、防御工具和传感器的列表。这可能包括本地防火墙规则、反病毒和虚拟化。这些检查可以内置到早期远程访问工具中。 Windows 可以用来获取安全软件...

视频捕获 攻击者可以利用计算机的外围设备（如集成摄像头或网络摄像头）或应用程序（如视频通话服务）捕获视频记录以便收集情报。 还可以从设备或应用程序捕获图像（可能以指定的间隔），从而替代视频文件。 恶意...

多频带通信 一些攻击者会对不同协议之间的通信进行切分。通信时可以有一个用于入站命令与控制的协议，和一个允许出站数据绕过某些防火墙限制的协议。也可以随机切分通信来简单避免通信时的数据阈值告警。 缓解 使...

查询注册表 攻击者可以与 Windows 注册表交互以收集有关系统，配置和已安装软件的信息。 注册表包含有关操作系统，配置，软件和安全性的大量信息。 一些信息可能有助于攻击者在网络中的进一步行动。 缓...

图形用户界面 图形用户界面 (GUI) 是与操作系统交互的常见方式。攻击者可以在操作期间通常通过远程交互式会话（如远程桌面协议）使用系统的 GUI，而不是通过命令行界面，通过鼠标双击，Windows ...

备用信道 如果首选信道被攻击或无法访问，攻击者可以使用备用通信信道，以便维持可靠的命令与控制并避免数据传输受限。 缓解 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。 ...